I ricercatori di Malwarebytes e del gruppo Threat Intelligence di NordVPN hanno documentato un’ondata di truffe online legate a Grand Theft Auto 6 in vista del lancio fissato al 19 novembre 2026. La dinamica ricorre: pagine che imitano grafica e loghi di Rockstar promettono accessi anticipati in cambio di pagamenti in bitcoin, Tether o Ethereum, a partire da 250 dollari. Il quadro si è chiarito dopo che Stefan Dasic, ricercatore di Malwarebytes, ha pubblicato ieri un report con passaggi documentati — incluso l’obbligo di incollare l’ID della transazione per sbloccare un download che in realtà non esiste.
La pressione della domanda è evidente: centinaia di migliaia di giocatori hanno cercato copie anticipate e la corsa ai preordini ha favorito l’esposizione a link e messaggi fraudolenti, secondo le analisi citate. Il peso commerciale del franchise resta un fattore: dati di Malwarebytes e numeri richiamati da Take-Two indicano oltre 465 milioni di copie vendute dalla serie, con GTA V responsabile di più di 225 milioni di unità. In uno scenario simile, anche una piccola quota di utenti disposti a pagare per un presunto accesso anticipato rende le operazioni redditizie, osservano gli analisti. Le campagne vengono aggiornate con rapidità e cercano di cavalcare ogni novità ufficiale del publisher.
Quattro tipi di truffa identificati
Il gruppo Threat Intelligence di NordVPN ha classificato le campagne in quattro famiglie. Primo: false chiavi beta e abbonamenti-trappola. L’utente compila form o supera finti captcha per ottenere una “chiave di accesso”, ma alla fine si ritrova iscritto a servizi a pagamento o indirizzato al download di app indesiderate. Un messaggio analizzato indicava: «Abbiamo bisogno del vostro aiuto per costruire Vice City. Prima che GTA VI venga lanciato in tutto il mondo, invitiamo un gruppo selezionato di giocatori a provare il gioco in anteprima».
Secondo: pacchetti Windows con trojan. Campioni analizzati il 17 maggio mostrano installer che sfruttano la tecnica del DLL sideloading. All’avvio, il sistema carica un file malevolo denominato nvdrs.dll al posto della libreria Nvidia, consentendo ai criminali di eseguire codice, scaricare componenti aggiuntivi e ricevere istruzioni da server remoti.
Terzo: false app Android. Applicazioni chiamate “GTA 6 Beta”, costruite con Unity e prive di vero codice di gioco, aprono il browser e innescano catene di reindirizzamento verso domini legati a diffusione di malware. I ricercatori hanno segnalato in particolare il dominio fizzyacerbitymellow.com.
Quarto: phishing per Rockstar Social Club. Centinaia di pagine con form fasulli raccolgono credenziali, spesso ospitate su piattaforme come GitHub o Vercel per sfruttarne la reputazione e aggirare i filtri automatici. Gli account rubati vengono rivenduti o usati per frodi in gioco e per distribuire ulteriori componenti malevoli.
I rischi concreti
Malwarebytes avverte che alcune campagne mirano a sottrarre le chiavi di recupero dei portafogli crypto e credenziali riutilizzabili su altri servizi. In un caso citato dal Guardian, il download di un software spacciato per il gioco ha installato un’app che ha permesso l’accesso remoto al dispositivo della vittima, con conseguente furto di dati bancari. La natura irreversibile delle transazioni in criptovalute amplifica l’impatto economico: non esistono procedure di chargeback come per le carte, sottolineano gli esperti.
La spinta tecnologica complica il riconoscimento dei raggiri. Gerald Kasulis, vicepresidente Global Affairs di NordVPN, ha spiegato al Guardian: «Sei un giocatore, stai aspettando il gioco e arriva una mail che sembra davvero ufficiale e curata», aggiungendo che l’uso dell’intelligenza artificiale rende le campagne sempre più convincenti e personalizzate.
Come proteggersi e le mosse ufficiali di Rockstar
I ricercatori suggeriscono alcune regole di base: evitare di cliccare su link sospetti, verificare sempre la provenienza dei messaggi, diffidare di qualsiasi offerta che richieda pagamenti in criptovalute e scaricare esclusivamente dagli store ufficiali o dai canali indicati da Rockstar. NordVPN e Malwarebytes hanno pubblicato indicatori di compromissione e URL segnalati nelle rispettive analisi, utili per filtrare domini e file pericolosi.
Rockstar Games ha annunciato il 18 giugno l’apertura dei preordini per il 25 giugno su PlayStation 5 e Xbox Series X/S. La conferma dell’assenza di una versione PC al lancio e la pubblicazione dei trailer hanno spinto i team di ricerca a intensificare il monitoraggio nelle ore precedenti l’apertura delle prenotazioni, proprio perché gli attori malevoli tendono ad allineare i loro messaggi ai momenti di maggiore visibilità ufficiale.
Il perimetro temporale resta dunque chiaro: l’apertura dei preordini è fissata al 25 giugno e l’uscita al 19 novembre 2026. Nelle prossime settimane l’attenzione dei ricercatori resterà alta su domini, app e marketplace dove circolano credenziali del Social Club, mentre gli utenti possono ridurre drasticamente il rischio attenendosi ai canali ufficiali e ignorando qualsiasi promessa di accesso anticipato a pagamento.